顧曉慧，李友誼，郞錫野，孫 揚，趙芃菲，于文革

（江蘇核電有限公司，連云港 222042）

配置風險管理是維修規(guī)則的重要組成部分。為保障核電廠的運行安全，核電廠營運單位編制了技術規(guī)格書，對核電廠配置（即系統(tǒng)和設備所處的狀態(tài)）進行管理。技術規(guī)格書通常針對單個系統(tǒng)或設備進行允許出役時間管理。雖然有些技術規(guī)格書對多重系統(tǒng)或設備失效做了一些規(guī)定，但是核電廠配置組合的復雜性和多樣性使這種控制方式并不完全合理。國際實踐表明，對多重設備失效進行控制的有效方法是配置風險管理。國家核安全局于2019 年12月發(fā)布了《核電廠配置風險管理的技術政策（試行）》（以下簡稱《政策》）［1］，于2022 年6 月重新修訂、發(fā)布了HAF 103《核動力廠調(diào)試和運行安全規(guī)定》［2］。該規(guī)定要求營運單位建立配置風險管理體系，以提高核安全管理決策的科學性和有效性。

在實際應用過程中發(fā)現(xiàn)，多數(shù)核電廠的配置風險管理無法應用于生產(chǎn)一線。其原因是方案未與現(xiàn)有管理流程緊密結(jié)合。田灣核電站在各部門的密切配合下自主研究技術政策，開發(fā)了切合電站實際的應用方案［3-5］，本文將進行詳細介紹。

1 適用范圍

配置風險管理大綱是核電廠運行技術規(guī)格書的補充。因此，在出現(xiàn)設備不可用時，核電廠必須依據(jù)運行技術規(guī)格書和配置風險管理大綱執(zhí)行規(guī)定的措施［6］。

田灣核電站1-4 號機組的配置風險管理適用的系統(tǒng)/設備范圍篩選自概率安全評價模型（PSA）和技術規(guī)格書（TS）。

運行配置風險管理適用的機組狀態(tài)包括功率運行（狀態(tài)1）、最小可監(jiān)測功率水平（狀態(tài)2）、熱態(tài)（狀態(tài)3）、加熱（狀態(tài)7）和冷卻（狀態(tài)8），適用的設備范圍為PSA 和TS 共有設備（簡稱TS設備）。

維修配置風險管理適用的機組狀態(tài)包括功率運行（狀態(tài)1）、最小可監(jiān)測功率水平（狀態(tài)2）、熱態(tài)（狀態(tài)3）、冷態(tài)（狀態(tài)4）、維修冷停堆（狀態(tài)5）、加熱（狀態(tài)7）和冷卻（狀態(tài)8），適用的設備范圍為PSA 模型中全部設備（PSA 設備）。

配置風險管理不適用于技術規(guī)格書要求立即后撤的狀態(tài)。

2 核電廠體系框架與組織機構

2.1 體系框架

在配置風險管理實施過程中涉及生產(chǎn)計劃、大修管理、運行、核安全管理和安全分析領域的相關管理程序和技術文件，其體系框架和清單如圖1 所示。

圖1 配置風險管理程序體系Fig. 1 The program system of configuration risk management

2.2 組織機構

實施配置風險管理的組織機構即已有的組織機構，包括生產(chǎn)計劃、大修管理、運行、維修、設備管理、儀控、技術支持、核安全、信息文檔和培訓等部門。

核電廠廠長在業(yè)務方面負責配置風險管理工作；技術支持部門負責配置風險管理體系的建立與歸口；生產(chǎn)計劃部門負責生產(chǎn)計劃（長周期計劃、日常計劃和責任范圍內(nèi)小修計劃等）的風險計算、組織討論與制定風險管理措施；大修管理部門負責大修計劃（大修和責任范圍內(nèi)小修等）的風險計算并組織討論、制定進入風險管理區(qū)的大修計劃所需的風險管理措施；運行部門負責當機組非計劃進入技術規(guī)格書的運行限制條件（LCO）時，對適用運行配置風險管理的事件按要求進行評價，并根據(jù)評價結(jié)果開展相應風險管理行動；核安全、維修、儀控和設備管理部門負責參加討論與制定風險管理措施，并實施責任范圍內(nèi)風險管理措施；信息文檔部門負責提供軟件安裝與數(shù)據(jù)存儲所需的服務器資源，并保障風險監(jiān)測系統(tǒng)軟件與電廠其他系統(tǒng)接口通信的穩(wěn)定性與可靠性；培訓部門負責配置風險管理相關的培訓組織與管理。

3 風險閾值

3.1 風險閾值設置

風險閾值對應內(nèi)部事件一級PSA 模型堆芯損傷頻率、堆芯損傷概率增量（CDF、ICDP）和二級PSA 模型早期大量放射性釋放頻率、早期大量放射性釋放概率增量（LERF、ILERP）。

田灣核電站1-4 號機組PSA 模型包含功率工況和低功率停堆工況等不同運行工況。雖然不同工況的基準風險不一致，但采用統(tǒng)一的風險閾值進行管理。其中瞬時風險（CDF/LERF）閾值統(tǒng)一以功率工況零維修風險作為基準風險制定。累積風險（ICDP/ILERP）閾值各工況一致，計算機組累積風險時，以各自工況下的零維修風險為基準風險。

根據(jù)《政策》要求，考慮到田灣核電站1-4號機組內(nèi)部事件一級PSA 結(jié)果約占全范圍PSA總結(jié)果的1/3［計算公式如式（1）］，更嚴格地選取《政策》推薦值的0.3 倍作為田灣核電站1-4號機組的風險閾值。

對瞬時風險由低到高依次采用綠、黃、橙、紅四種風險區(qū)域進行管理，與《政策》的區(qū)別是將風險管理區(qū)細分為橙區(qū)（高風險）和黃區(qū)（中風險），閾值見表1；對累積風險由低到高采用綠、黃、紅三種風險區(qū)域進行管理，與《政策》一致，閾值見表2。

表1 瞬時風險閾值Table 1 Transition risk threshold

表2 累積風險閾值Table 2 Cumulative risk threshold

表3 運行（隨機不可用）風險管理矩陣Table 3 Operation（random unavailable） risk management matrix

3.2 風險閾值管理

風險閾值的設定須經(jīng)過同行評估或者得到國家核安全監(jiān)管部門的認可。在獲得認可前，電廠實施配置風險管理試運行，風險閾值作為試運行的參考。

風險閾值由技術支持部門參照《政策》，根據(jù)實際情況予以提出，并經(jīng)相關部門討論確定。

當PSA 模型更新導致機組基準風險發(fā)生變化或監(jiān)管部門政策變化時，技術支持部門在15個工作日內(nèi)組織公司相關部門討論更新風險管理閾值事宜，并在公司企業(yè)內(nèi)容管理系統(tǒng)（ECM）中以會議紀要的形式確認，獲批后7 個工作日內(nèi)在風險監(jiān)測系統(tǒng)中更新風險管理閾值。如相關技術文件或管理程序受到閾值影響，則更新這些文件。

4 風險管理矩陣

4.1 風險管理矩陣設置

運行（隨機不可用）風險管理矩陣被設定為正?？刂茀^(qū)（綠區(qū)）、中風險管理區(qū)（黃區(qū)）、高風險管理區(qū)（橙區(qū)）和風險不可接受區(qū)（紅區(qū)）四種風險區(qū)域，見表 3；維修（計劃不可用）風險管理矩陣被設定為正?？刂茀^(qū)（綠區(qū)）、風險管理區(qū)（黃區(qū)）和風險不可接受區(qū)（紅區(qū)）三種風險區(qū)域，見表4。

表4 維修（計劃不可用）風險管理矩陣Table 4 Maintenance（plan unavailable） risk management matrix

運行（隨機不可用）風險管理矩陣的進入與退出：當電廠發(fā)生非計劃的TS 設備不可用進入技術規(guī)格書LCO，并導致瞬時風險進入黃區(qū)、橙區(qū)和紅區(qū)時，進入風險管理矩陣的相應風險區(qū)域；當所有TS 設備恢復可用時，退出風險管理矩陣的黃區(qū)、橙區(qū)和紅區(qū)，進入綠區(qū)。

維修（計劃不可用）風險管理矩陣的進入與退出：制訂計劃時，PSA 設備（《配置風險管理設備清單》中標注為PSA）不可用導致累積風險進入黃區(qū)時，進入風險管理矩陣的黃區(qū)，紅區(qū)不允許主動進入；當所有PSA 設備恢復可用時，退出風險管理矩陣的黃區(qū)或紅區(qū)，進入綠區(qū)。

當機組發(fā)生非計劃事件，《配置風險管理設備清單》中設備突發(fā)故障不可用導致機組瞬時風險進入風險管理區(qū)（黃區(qū)和橙區(qū)），但維修活動的累積風險仍然處于綠區(qū)時，則可正常開展計劃性維修工作。

4.2 風險管理矩陣管理

當由于技術進步、監(jiān)管要求變化或電廠管理變更等原因需對風險管理矩陣進行修訂時，歸口部門應在15 個工作日內(nèi)組織公司內(nèi)相關部門討論風險管理矩陣更新事宜，并在公司企業(yè)內(nèi)容管理系統(tǒng)（ECM）中以會議紀要的形式確認，如相關技術文件或管理程序受到變更影響，則更新這些文件。

5 配置風險管理的實施

5.1 運行配置風險管理

當發(fā)生非計劃事件進入技術規(guī)格書LCO時，運行人員除執(zhí)行技術規(guī)格書所規(guī)定的措施以外，還需檢查非計劃事件是否由《配置風險管理設備清單》中標注為TS 的設備異常故障引起，若是，則需在確認配置后的1 h 內(nèi)在風險監(jiān)測系統(tǒng)中確認或錄入設備不可用信息，完成配置風險評價，并根據(jù)評價結(jié)果按照圖2 流程執(zhí)行配置風險管理。

圖2 運行配置風險管理流程Fig.2 The process of operation configuration risk management

若瞬時風險進入紅區(qū)，則缺陷按0 級響應，啟動生產(chǎn)待命流程進行決策，立即采取行動降低風險；若機組處于功率運行狀態(tài)，且經(jīng)確認機組配置風險處于紅區(qū)時，則需要立即停堆后撤，將機組置于可接受的風險水平。若瞬時風險處于橙區(qū)，則缺陷按0 級響應，然后啟動緊急消缺工作流程；若預判維修工作不能在RMAT 內(nèi)完成，則應識別不可定量因素并制定RMA，之后可將維修時間延長至ACT。若瞬時風險處于黃區(qū)，則缺陷按1 級響應，所有非計劃事件導致的設備不可用時間均使用RMAT 進行管理，在制定風險管理措施（識別不可定量因素）并組織實施后，可將維修時間延長10 倍至ACT；若制定的風險管理措施無法在ACT 之前降低風險，則需要將機組后撤至安全狀態(tài)。

5.2 允許配置時間

采用累積風險限值計算允許配置時間，其中用風險管理區(qū)（黃區(qū)）限值ICDP＜3×10-7和ILERP＜3×10-7計算RMAT；在評價不可定量因素并采取了控制風險的措施后，用風險不可接受區(qū)（紅區(qū)）限值ICDP＜3×10-6和ILERP＜3×10-6計算ACT。計算原理如圖3 所示。

圖3 允許配置時間計算Fig.3 The calculation of allowed configuration time

需要注意的是上述RMAT 和ACT 均為ICDP 和ILERP 限值計算結(jié)果中較小的一個，且均不能超過技術規(guī)格書要求。

圖4 顯示的是當配置風險管理范疇內(nèi)設備不可用時，累積風險和允許配置時間隨時間變化的計算原理圖。在零時刻，設備A（非TS 設備）由于計劃維修開始不可用，在制訂計劃時已判斷設備A 無法在RMAT（即T3 時刻）前復役并制定有風險管理措施RMA，設備A 的維修時間延長至T3的10倍；在T1時刻，發(fā)生緊急事件（非計劃），若經(jīng)分析為第二個設備B（TS 設備）不可用導致進入LCO，則在1 h 內(nèi)完成配置風險評價，得到新的RMAT 和ACT，T2 為RMAT，T5為ACT；若預判設備B 無法在T2 時刻前復役，應在T2 之前的生產(chǎn)例會/大修例會上進行討論并制定RMA，可將維修時間延長至T5；T4 時刻設備A 復役，則需重新計算ACT 為T6。設備B 恢復可用后（即無TS 設備不可用時）退出運行配置風險管理。

圖4 設備不可用時累積風險和允許配置時間計算Fig.4 The calculation of cumulative risk and allowed configuration time when equipment unavailable

5.3 維修配置風險管理

維修計劃制定配置風險管理流程如圖5 所示。生產(chǎn)計劃和大修計劃工程師在制訂計劃時應控制風險，若瞬時風險或累積風險必須進入風險管理區(qū)，則應在組織制定風險管理措施后發(fā)布實施計劃，制定的風險管理措施應記錄于運行風險分析單［7］。不允許主動進入累積風險紅區(qū)和瞬時風險紅區(qū)。

圖5 維修配置風險管理流程Fig.5 The process of maintenance configuration risk management

5.4 風險管理措施的制定

RMA 是針對即將生效的計劃或已經(jīng)發(fā)生的事件導致機組進入風險管理區(qū)和風險不可接受區(qū)而制定的。RMA 應能夠降低機組的瞬時或累積風險，當管理措施無效、可能出現(xiàn)不可接受的高風險配置時，則將機組后撤至適當模式。RMA 包括但不限于如下內(nèi)容。

（1）修改已生效的計劃，避免出現(xiàn)高風險配置；

（2）減少高風險配置的持續(xù)時間，如識別相關風險和接近/超越風險指引維修延長時間（ACT）的預案；制定預案，在需要時迅速恢復關鍵的停運設備；

（3）采取補償措施，降低配置的風險；

（4）避免某些敏感SSC 不可用進一步導致更高風險配置，如盡量減少單點敏感設備（SPV）房間內(nèi)其他設備的操作；

（5）提高風險意識和加強控制的措施，如在工前會中強調(diào)配置風險。

5.5 風險管理措施的實施

RMA 由工作層初步提出，在生產(chǎn)例會、大修例會等組織活動中討論確定，并由電廠廠長根據(jù)機組實際情況批準后實施。僅通過修改維修計劃時間即實現(xiàn)配置風險管理要求的RMA無須電廠廠長批準。

對于瞬時風險和累積風險措施預計將接近或超過閾值的電廠配置，應實施RMA。這些行動旨在提高相關電廠人員的風險意識，對特定維修活動進行更嚴格的規(guī)劃和控制，并采取措施控制風險增加的持續(xù)時間和程度。具體的RMA 一般包括考慮電廠外部因素（如天氣條件、電網(wǎng)條件等）、關鍵安全功能性能、剩余緩解能力及其冗余性等，可將定性評估用于支持在SSC停運時特定電廠和現(xiàn)場工況的風險管理補償措施的識別和實施。

風險管理措施的制定需考慮核電廠執(zhí)照文件的相關規(guī)定。制定的風險管理措施應得到有效執(zhí)行，并在執(zhí)行后由相關負責人組織進行有效性評價。

5.6 體系有效性的定期評價

歸口部門在每個換料周期組織開展電廠配置風險管理體系有效性評價，評價內(nèi)容包括運行配置風險管理和維修配置風險管理的執(zhí)行情況、風險閾值和風險管理矩陣合理性、風險管理措施執(zhí)行情況、風險監(jiān)測系統(tǒng)使用情況和體系的總體情況等。在電廠實施維修規(guī)則后，一并開展體系有效性的定期評價與維修規(guī)則定期評價。

6 總結(jié)

田灣核電站深入解讀國家法規(guī)、政策，建立了一套行之有效的管理與預維方案，為提高核電廠配置風險管理水平打下了堅實基礎。